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摘 ZR: McEliece 公 角 加密 体制 是 基于 编码 理论 的 公 负 密码 体制 ， 其 安全 性 可 以 规约 到 一 般 线性 码 译 码 问 题 ， 可 以 的 
抗 量子 攻击 。 提 出 了 一 种 改进 的 基于 准 循环 中 密度 奇偶 校 验 (QC-MDPC) 码 和 准 循环 低 密 度 奇 偶 校 验 (QC-LDPC) 
码 的 McEliece 变型 方案 。 主 要 改进 是 将 QC-LDPC 码 和 QC-MDPC 码 的 奇偶 校 验 矩阵 结合 作为 私 钥 ， 生 成 二 者 的 级 联 
码 字 应 用 于 McEliece 变型 方案 ， 并 且 给 出 了 改进 的 译 码 算法 。 分 析 表 明 在 80 bit 安全 下 该 体制 密 钥 量 小 且 实 现 的 复杂 
度 低 ， 能 抵抗 最 近 提 出 的 分 别针 对 QC-MDPC 和 QC-LDPC 体制 的 密 钥 恢复 攻击 。 
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Improved McEliece variant scheme based on parity-check codes 
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Abstract: McEliece public-key cryptosystem is a public-key cryptosystem based on coding theory. Its security can be reduced 
to the general linear code decoding problem and it can resist quantum attack. This paper proposed an improved McEliece variant 
scheme based on quasi-cyclic medium density parity check (QC-MDPC) code and quasi-cyclic low density parity check (QC- 
LDPC) code. The main improvement was that the parity check matrices of QC-LDPC code and QC- MDPC code were combined 
as a private key, and the concatenated codewords generated were applied to the McEliece variant scheme, and an improved 
decoding algorithm was given. The analysis shows that under the 80-bit security, it has small system key and low-implement 
complexity. In addition, this system can resist the recently proposed key recovery attacks on QC-MDPC and QC-LDPC 
respectively. 
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Baldi 等 人 BI 最 早 将 QC-LDPC 码 应 用 在 McEliece 体制 


o 


一 没有 过 多 代数 结构 同时 具有 快速 译 码 算法 的 码 ， 使 加 密 体 


近年 来 量子 计算 机 发 展 迅 速 ， 为 了 避免 量子 攻击 ， 选 取 后 


En 


六 安全 加 密 方案 至 关 重 要 。 基 于 纠 错 码 的 公 钥 密 码 体制 ，3 


An 


子 计算 机 攻击 的 主要 方案 之 一 ， 上 共有 较 好 的 安全 性 。 经 典 的 。 方案 进行 了 改进 ， 提 高 了 安全 性 使 其 能 抵抗 Otmani 的 攻 了 


H 


然 实现 速度 很 快 ， 但 存在 密 钥 量 大 的 问题 。 很 多 试图 改进 — 公 钥 密码 体 和 


c 


出 既 具 有 更 小 的 公 钥 ， 又 具有 相应 的 安全 性 。 但 是 不 久 这 一 算 
法 被 Otmani 等 人 四 利用 结构 攻击 的 方法 攻破 , 原因 是 其 对 偶 码 
性 可 以 规约 到 一 般 线性 码 译 码 问题 ， 是 目前 为 止 能 够 抵抗 存在 低 维 数 的 漏洞 。 之 后 Baldi 等 人 国 又 对 其 之 前 的 QC-LDPC 


Ho 


二 元 Goppa 码 编码 的 方案 , 例如 McEliece 和 Niderreiter 77 2013 年 Misoczki 等 人 中 提出 了 采用 QC-MDPC 码 的 McEliece 
， 并 证 明 其 能 够 抵抗 已 知 的 对 LDPC 码 的 攻击 ， 


缺点 的 算法 使 用 一 些 码 代替 Goppa 码 以 得 到 更 紧 致 的 密 钥 同时 保持 了 QC-LDPC 码 密 钥 短 的 优点 。 但 是 在 2016 Æ, Guo 
表示 , 但 大 多 已 被 攻破 t 习 。 目前 较 有 希望 的 既 保持 安全 性 又 具 ”等 人 MI 对 Misoczki 提出 的 QC-MDPC 方案 提出 了 一 种 密 钥 恢 复 
有 较 短 密 钥 长 度 的 McEliece 变型 算法 是 采用 QC-MDPC 码 的 。” 攻击 ， 该 攻击 利用 大 量 实验 寻找 译 码 错 误 概率 和 密 钥 距离 谱 之 
方案 。 间 的 关联 性 , 对 密 钥 进行 恢复 。 同 年 Shooshtari 等 人 [9 证实 了 当 
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E 的 McEliece 变型 方案 


Baldi 改进 的 QC-LDPC McEliece 体制 的 循环 矩阵 的 循环 块 为 偶 1.2 传统 的 McEliece 体制 
数 时 ， 其 易 遭 受信 息 集 译 码 攻 击 四 。 之 后 在 2017 年 ，Fabsit 等 McEliece 体制 09 是 在 1978 年 由 McEliece 提出 的 基于 编码 
人 四 将 Guo 等 人 的 攻击 方法 应 用 于 该 体制 ， 同 样 是 通过 大 量 实 论 的 一 种 公 钥 密码 体制 。 该 体制 加 解密 过 程 中 使 用 到 了 三 个 
从 寻找 置换 矩阵 2 与 译 码 错误 概率 之 间 的 依赖 ， 对 密 钥 进行 恢 。” 和 矩阵 ， 即 G，$， 已 ， 其 中 G 为 可 以 纠正 1 个 错误 的 (n,k,21 + 
复 。 -线性 码 (McEliece 提出 使 用 的 线性 码 Goppa 码 ) 的 kxn 阶 生 
为 了 使 McEliece 变型 体制 能 保持 密 钥 短 及 传输 率 高 的 优 ”成 矩阵 ;3 为 kxk 阶 随机 非 奇 异 〈( 可 道 ) EE; Pnn 
点 ， 并 使 其 还 能 抵抗 针对 QC-LDPC 与 QC-MDPC 变型 体制 的 ”随机 置换 矩阵 。 由 此 计算 出 矩阵 G = SGP 和 纠 错 能 力 1 一 起 作 
攻击 , 本 文 设计 了 将 两 种 奇偶 校 验 码 结合 使 用 的 McEliece 体制 。 为 公 钥 ， 私 钥 为 G，S, P. 


利用 密度 不 同 的 奇偶 校 验 矩 阵 的 合 矩 阵 对 生成 矩阵 进行 定义 ， 加 密 : c=mG +e, 其 中 e 为 重量 小 于 等 于 1 的 随机 差错 图 
再 对 明文 加 密 。 密 文 为 QC-LDPC 和 QC-MDPC 码 字 的 级 联 再 。 FÉ 

加 上 随机 差错 图 样 e， 即 c=mG+e 分 析 结 果 表 明 ， 在 选择 适 解密 : 等 式 两 边 同时 乘 p^. BücP'-msG-«eP'. 然后 使 
当 参 数 下 ， 此 体制 可 抵制 Guo 等 人 提出 的 密 钥 恢 复 攻 击 , 同时 H Goppa 码 的 快速 译 码 算法 纠 出 差错 图 样 eP- ， 计 算出 m5 ， 


也 能 避免 针对 QC-LDPC 的 攻击 。 Wl m= mSS™ - 


、 1.8 LDPC/MDPC 码 的 Tanner 图 表示 
1 ”预备 知识 


LDPC 码 和 MDPC 码 都 可 用 Tanner 图 表示 其 校 验 和 矩阵, 例 

1.1 相关 定义 如 一 个 (20,15,4) -LDPC 码 检验 矩阵 如 下 : 

定义 1 LDPC 码 。 码 字 C={ce 所 |He =0}， 是 低 密度 奇 ERE 
ERRI, KAERRA H BERUR, ARER, IA Or Oe ro 0 o o Or Doo Di i oi0 
| 0000000000000000.0 1 11 lI 
FH Tanner 图 来 表示 ( 见 图 1)。 10001000100010000000 

定义 2 MDPC 码 。 它 是 比 LDPC 码 密度 稍 高 的 码 ， 一 个 "AIITEM MEPEMLTETT 

000100000017 000100010 

(n, r,w) -MDPC 码 是 一 个 长 度 为 n, 余 维 数 为 r(r<n) 的 线性 码 ， E212 LEE IA no 
其 奇偶 校 验 矩 阵 具 有 恒定 的 行 重 w . MDPC 码 的 奇偶 校 验 矩阵 DUI A ndcend ST 117 9)709 43 
的 行列 密度 相 比 于 LDPC 码 的 奇偶 校 验 矩 阵 稍 高 ， 实 际 中 应 用 aaa 0 53 
的 LDPC 码 的 奇偶 校 验 矩 阵 行 重 一 般 情 况 下 是 小 于 等 于 10 的 ， H 
而 MDPC 码 的 奇偶 校 验 矩 阵 的 行 重 约 为 O(VJmlogm) 。 一 般 对 于 


Vo+Vi+Vs+Vas=0 


Vi+Vas+Ve+V7=0 


80 比特 到 256 比特 安全 参数 下 , MDPC 码 的 校 验 矩阵 选择 的 行 
重 在 90 到 644 之 间 。 
定义 3 准 循环 Cquasi-cyclie QC-) 码 。 对 于 一 个 (n,7) - 
线性 码 ， 若 存在 小 整数 mm 〈 比 如 2. 3. 4 等 小 整数 )， 使 得 
这 个 码 字 集合 中 的 每 个 码 字 每 经 过 no 的 循环 移 位 又 生成 一 
码 字 ， 则 称 该 码 为 准 循环 码 。 

定义 4  QC-LDPC/QC-MDPC £45, 234 (n,r,w) -LDPC/ 
MDPC 码 字 也 是 准 循环 时 ; 或 者 说 由 循环 块 校 验 矩 阵 定义 
(n, r,w) -LDPC/MDPC 码 时 ， 其 中 对 =mr ， 则 为 准 循环 低 / 中 密 
度 奇 偶 校 验 码 ， 即 QC-LDPC/QC-MDPC 码 。 

定义 5 循环 矩阵 。 如 果 一 个 矩阵 的 行 是 第 一 行 的 连续 循 
环 移 位 ， 则 称 这 个 矩阵 为 循环 矩阵 。 

定义 6 ”矩阵 的 密度 dj 。 五 e BY 的 密度 是 指 H 中 平均 
每 行 1 的 数目 ， 即 


VetVotViotVi=0 


VistVistViatVis=0 


VisetVirtVistVio=0 


VotVatVstVis=0 


> È 


VitVvstVvetVie=0 
VatVetVistVir=0 


VatViotViatVis=0 


VitVutVistVio=0 


VotVstViitVvir=0 


VitvetViotVis=0 


VatVrtViztVie=0 


VatVstVistVie=0 


VatVotVistVie=0 


D 


"m 五 中 的 数目 1 (20,15,4) -LDPC 码 的 Tanner 图 

i r 图 1 中 性 为 变量 节点 〈 对 应 校 验 矩 阵 的 行 元 素 )， 其 中 

定义 7 n -比特 安全 性 。 任 何 攻 击 者 成 功 攻击 所 花费 的 代 ”i=(0,1,…,19) ， 0; 为 校 验 节点 〈 对 应 校 验 矩阵 的 列 )， 其 中 

价 (基本 操作 数 ) T> 2"; 或 者 说 任何 有 效 的 攻击 成 功率 =<2 ;7 = (0.1…,14) ， 每 个 校 验 节点 对 应 有 一 个 校 验方 程 , 如 图 1 中 
再 或 者 是 以 上 两 种 情况 的 结合 ， 即 了 /es > 2" 。 右 侧 所 示 。 


Tanner 图 大 多 用 在 选 代 译 码 算法 中 。 比 特 翻转 (BF) 迭代 
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录用 稿 


译 码 的 一 般 译 码 过 程 可 以 简单 地 概括 如 下 : 

a) 接 收 码 字 < ; 

b) 计 算 校 验 子 s=cH”; 

9 对 每 个 变量 节点 检查 计数 校 验方 程 不 满足 的 个 数 7 ; 

d 若 有 变量 节点 的 7 值 超过 了 规定 的 病 值 2， 则 翻转 该 比 


e 计 算 并 检查 是 否 所 


2 ”改进 方案 介绍 


首先 对 方案 涉及 到 的 主要 符号 进行 约定 ， 其 余 符号 在 方案 
介绍 过 程 中 约定 。 其 中 为 级 联 码 的 码 长 ，n 、n, 分别 为 QC- 
MDPC 和 QC-LDPC 的 码 长 ，k 、r 、w 分 别 为 级 联 码 的 信息 
位 长 、 校 验 位 长 、 奇 偶 校 验算 阵 的 行 重 ，R=(n 一 7)/n 为 编码 
效率 〔 码 率 )。 
本 文 提 出 的 方案 包含 密 钥 生成 、 加 密 和 解密 三 个 算法 。 主 
要 改进 是 将 QC-LDPC 码 和 QC-MDPC ff s Bp d B eA er 
作为 私 钥 , 生成 二 者 的 级 联 码 字 应 用 于 McEliece 变型 方案 , 而 
且 给 出 改进 的 译 码 算 法 。 校 验 矩 阵 肪 BREE H n H, H, 
H -(H,| H5) , P H, 可 化 为 系统 形式 。 则 可 由 校 验 矩阵 或 生 
成 矩阵 决定 两 个 码 长 分 别 为 下、 了 殊 f QC-MDPC 码 和 QC- 
LDPC 码 ， 二 者 级 联 成 新 的 码 长 为 n= n, nj WBF. 
2.4 ZER 

a) 随 机 生成 两 个 分 别 重 为 w 和 w, 的 向 量 Ay 和 加 ， 并 且 
h = (y. hy) € F7 的 重量 为 w=Ww +w, ; 

b) 将 向 量 h EJIRE ERE H 的 第 一 行 ; 


有 校 验方 程 都 成 立 ， 若 否 ， 返 回 第 二 


YN H 其 余 r-1 行 可 由 每 一 块 Hi,。 、H 的 第 一 行 各 自 循 
环 移 位 而 得 ， 其 中 ae(01L…Amo-D ( n=n/r )， 


be(0,l-n, 1D (ny =n /r), 

得 到 的 校 验 和 矩阵 矿 ， 对 其 左 乘 Hua 可 得 到 其 系统 形式 
H=(P| L) ， 此 可 相应 得 kxn 阶 生 成 矩阵 
G=(10wxmn1P)， 也 可 以 表示 为 G=(Gi|G,) 的 形式 ，G、 


PE SEM 

a) 初始 化 译 码 迭 代 次 数 T=0 ， 计 数 器 了 =0。 

b) 对 于 je(.L--. 0 ibSE S; ESEN 0, 则 停止 迭代 ， 
输出 码 字 ; 455,20, X £e(0.L- n1) , 则 第 j 个 校 验 节点 
连接 的 w 个 变量 节点 对 应 的 计数 器 。 

c) 检 查 计数 器 , 若 第 i 个 变量 节点 的 T>b , 则 翻转 第 i 位 。 

d) 更 新 校 验 子 。 人 遍历 检查 第 j〈( je (0,1,…,7) ) 个 校 验 节 
点 所 连接 变量 节点 的 翻转 个 数 f ， 更 新 5; 。 若 翻转 次 数 
f:fmod2-1, 则 更 新 之 后 的 5)=0 , 则 译 码 成 功 , 输出 翻转 后 
的 码 字 e et{c lie(0,1,…,n—D}。 

e) 否则 ,判断 迭代 次 数 7=7T+1, ET Du 则 终止 迭代 ， 
输出 译 码 失 败 ， 和 否则 返回 步 b)。 


3 ”安全 性 能 分 析 


3.1 困难 问题 

本 文 所 提出 的 McEliece 变型 方案 的 安全 性 依赖 于 一 般 线 
性 码 译 码 问题 中 的 陪 集 重量 问题 , 此 问题 已 被 证 明了 是 NPC 问 
题 050， 可 以 抵抗 量子 攻击 。 

陪 集 重 量 问题 : CA a RER rxn EEH, ~Ar 
5s ， 以 及 正 整 数 :， 在 上 找到 一 个 汉 明 重量 < 的 向 量 。 使 得 
s-He'. 

此 外 ， 该 体制 是 安全 的 ， 只 要 以 下 两 个 问题 成 立 : a) 在 一 
个 (n,n 一 7) 准 循环 线性 码 中 纠正 1 个 错误 是 难 的 ;，b) 确定 由 一 
些 块 循环 rxn 阶 算 阵 生成 的 码 字 是 否 存在 最 小 距离 <w 是 难 的 。 

这 两 个 问题 已 被 证 明 在 非 循 环 情况 下 是 NP- 难 的 53， 它们 
确切 的 状态 在 循环 情况 下 是 未 知 的 。 但 是 有 一 个 共识 : 循环 性 
本 身 不 会 使 问题 变 得 简单 ， 这 种 情况 和 基于 格 的 密码 体制 非常 
相像 。 
3.2 有关 攻 击 

对 基于 编码 理论 的 公 钥 密码 体制 的 攻击 ， 主 要 有 结构 攻击 
和 译 码 攻击 两 种 类 型 的 攻击 。 结 构 攻击 旨 在 密 钥 恢 复 ， 即 直接 
利用 公 钼 恢复 私 钥 ; 译 码 攻 击 旨 在 消息 恢复 ， 即 直接 从 密 文 中 
恢复 明文 。 译 码 攻击 主要 是 信息 集 译 码 攻击 ， 结 构 攻击 主要 是 


G 分 别 为 两 个 码 字 的 的 可 纠 右 、 妃 个 错误 的 生成 矩阵 。 由 于 
QC-MDPC 有 随机 分 量 组 成 部 分 的 存在 ， 因 此 可 以 不 用 再 添 
加 扰 和 矩阵 和 置换 矩阵 。 
22 加密 
对 消息 me Fy” 进行 加 密 : 
a) 随 机 生成 差错 图 样 ee F7, 
Jh. Je no 部 分 至 多 重 为 4b; 
b) 计 算 密 文 : c=mG+e, ceF。 
23 解密 
本 文 提出 改进 的 BF 算法 Cnew-BF) 如 下 : 
输入 : HeRR”, 最 高 迭代 次 数 us o 
输出 : e ， 使 得 eH87=0; 或 译 码 失败 。 
参数 : 变量 节点 个 数 i, 校 验 节点 个 数 j ,计数 器 的 值 T ， 
闵 值 2 ， 翻 转 个 数 f 。 


Tur 


we) <t Tfj H. Bip m 354) 28 e E 


t 


c=mG+eeF;, 


最 近 提出 的 对 QC-MDPC 体制 、QC-LDPC 体制 的 密 钥 恢复 攻 
H, 
3.2.1 信息 集 译 码 攻击 

言 息 集 译 码 攻击 ， 主 要 目的 是 通过 已 知 公 钥 和 截获 的 密 文 
c 找到 差错 向 量 的 上 个 非 1 比特 位 置 ， 使 得 线性 码 的 生成 矩阵 
G 选择 相应 位 置 的 大 列 组 成 的 G' JE WIR. BD, Jule 
c=mG+e， 对 选取 上 位 非 1 比特 ，G 选取 相应 的 k 列 ， 使 得 
组 成 的 G' 可 道 , 这 样 可 以 对 应 < 选取 k 位 , 等 式 左右 同 乘 G” ， 
计算 出 明文 。 
现 有 较 好 的 MMT 算法 器 所 需 的 工作 因子 为 


WF = min 


为 O254) ， 即 复杂 度 为 指数 函数 。 因 此 ， 如 果 码 长 n 和 信息 
位 选取 较 大 , 比如 选择 n=12005， 则 运行 时 间 至 少 为 0(2*)， 


， 其 中 1=log, Cp? 。 这 个 攻击 运行 时 间 
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该 攻击 则 不 可 行 。 


32:2 


密 钥 恢复 攻击 


密 钥 恢复 攻击 ,选取 特殊 的 差错 图 样 <〈 见 


以 及 译 码 测试 。 对 于 rt 
KEH WATEA E 


1 
因为 : 


a) 本 文 密 钥 入 结构 如 图 3 所 示 。 对 于 其 
仿 子 计算 的 是 加 的 一 半 , 即 Hoccuoec 首 行 向 量 
行 向 量 的 一 小 部 分 ， 敌 手 无 法 得 知 体制 中 两 种 奇偶 校 验 矩 
分 布 及 各 
b) 在 本 文 所 提 体 出 


密度 相对 QC-MDPC 较 小 ， W s, =F eh, X 0 h 
i=l 


足 的 校 验方 程 的 数 


献 [14 


李 梦 东 ， 等 : 


图 2) 进行 加 密 


各 此 攻击 直接 应 ) 


-2, Guo RH R RE DERRE 
2) 的 前 半 部 分 向 量 加 即 可 。 
在 本 文 所 提出 的 体制 是 不 可 行 的 。 


IT 


自 比例 来 恢复 出 密 钥 。 


| 中 ，QC-LDPC 校 验 矩阵 的 加 入 ， 因 


减少 ， 相 应 译 码 失败 概率 降低 。 同 时 


置 ， 参 与 校 
Ej Hoc ippe 首 
阵 的 


为 


的 概率 增 大 ， 不 满 


文 


] 分 析 知 , 本 文 的 译 码 算法 依然 适用 , 并 且 相对 复杂 度 较 低 ， 
最 坏 情况 下 对 QC-MDPC 的 译 码 ， 可 以 降低 译 码 错误 概率 ， 增 


大 了 攻击 的 译 码 复杂 度 。 
c) 另外 ，Guo 等 人 的 攻击 


自身 也 有 相应 缺陷 。 


一 是 其 没有 


找 出 


体 的 数值 表达 式 关 系 ， 二 是 在 计算 密 钥 


E 离 谱 时 ， 其 依 


赖 的 是 大 量 的 样本 实验 ， 三 是 区 分 4s(01…'r/ 轨 是 否 存在 于 


hy EA] 


e 


tl 
每 对 1 以 距离 d 分 布 


h 


图 2 


对 于 Fabšič 等 人 外 的 对 QC-LDPC McEliece 


E 离 谱 中 的 界限 不 明确 。 


1 
个 1 
1 
1 
1 
1 
1 


QC-MDPC ， 


T 
1 
ho, wo=w '! hi, wi=w 


特殊 的 差错 图 样 e DAX h 图 3 本 文 校 验 


china 


一 方 


四 该 攻击 是 利用 寻找 稀 玻 


换 矩 阵 O CR 


hoi hoz 
QC-LDPC 


AREE EI fr E E 
的 反映 攻击 ， 
决 译 码 错误 


概率 之 间 的 相关 关系 为 切入 点 进行 攻击 ， 而 在 本 文 所 提出 的 体 


制 中 ， 


本 文体 制 不 可 行 ， 男 一 方面 本 文体 制 所 用 码 字 是 
和 QC-MDPC 级 联 组 成 ， MDPC 43 


杂 性 。 


3.2.3 


不 再 对 生成 矩阵 进行 乘 加 扰 和 矩阵 和 置换 针 


E 阵 ， 此 攻击 对 


其 他 攻击 


QC-LDPC 


的 引入 本 身 增加 了 攻击 的 复 


对 于 弱 密 钥 攻 击 ，Bardet 等 人 (5 对 基于 QC-MDPC 码 的 公 


对 于 OTD 攻击 ， 其 是 


钥 加 密 方案 提出 一 种 寻找 弱 密 钥 的 方法 053， 但 是 此 攻击 不 能 应 
用 在 本 文 所 提出 的 加 密 体制 ， 医 
足 其 规定 的 弱 密 钥 条 件 。 
体制 中 的 S IO 展开 的 ， 因 


为 QC-LDPC 部 分 的 公 钥 不 满 


针对 QC-LDPC 


比 对 本 文体 制 不 可 行 。 


4 具体 参数 选择 和 实现 效率 分 析 
41 参数 选择 

c=mG+e ^E i rg Jg on *m.rw-w +w) - 线 
性 码 。rxr JAIE RER H, 是 由 7 长 行 向 量 循 环 移 位 生成 ，r 
长 行 向 量 可 以 用 EP Dx / (x +D 中 的 多 项 式 表 示 。 实际 上 关于 


竺 性 上 选 定 其 为 素数 ， 


Qc +])/(x+]) 为 不 可 约 多 


码 长 n 和 校 验 矩 
纠 错 能 力 。 


强 ， 随 着 校 验 矩阵 行 章 w 的 增 大 而 降低 ， 
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一 种 改进 的 基于 麻 偶 校 验 码 的 GE 时 


方案 


有 一 些 矛 盾 的 地 方 。 比 如 ， 增 加 会 使 得 公 钥 变 大 ， 
得 是 减少 > 又 导致 译 码 失败 概率 增 大 。 


K 


K] H 
F QC-MDPC 体制 的 纠 错 能 力 低 于 QC-LDPC 体制 ， 但 是 适当 


响 


为 这 样 可 以 使 得 


项 式 ， 使 得 可 以 简单 地 选择 具有 奇 
数 权重 的 任何 多 项 式 来 高 效 选择 Fy[x]/ (x +D 
阵 行 重 w 的 选择 会 影 
和 迭代 译 码 算法 的 纠 错 能 力 会 随 着 码 长 导 的 增 大 而 


中 的 可 逆 元 素 。 
迭代 译 码 算法 的 


ls 


和 迭代 译 码 算法 用 


的 参数 选择 四 也 使 QC-MDPC 体制 保证 了 一 定 的 安全 性 。 而 两 


X Wy < Woc- pec PJ EA fii £ 


种 码 字 的 级 联 使 用 , 上 
着 能 力 相 对 于 QC-MDPC 体制 增强 ， 同 时 


T Woc-LpPc 


因为 二 者 码 的 结合 


能 抵抗 分 别 对 单个 类 型 码 体制 的 攻击 而 达到 较 高 的 安全 性 。 


对 于 QC-MDPC 及 QC-LDPC 体制 
时 也 是 目前 使 用 最 普遍 的 参数 : 


的 参数 ， 同 


a) QC-MDPC 码 ， 文 献 [6] 中 对 MDPC 码 建议 的 参数 为 码 


率 为 1/2 ， 码 长 和 信息 位 大 小 分 别 为 9602 和 4801 bit， 其 可 
且 相 比 其 他 参数 ， 此 参数 下 公 钥 量 最 小 。 


提供 80 bit 安全 ， 而 


以 


b) QC-LDPC 码 ，Baldi 等 人 喇 对 文献 [3] 进 行 了 改进 ， 对 
RE, 码 率 2/3 , 码 长 和 信息 位 大 小 分 别 为 24576 


参数 也 进行 了 
和 16384 bit. 


Ab. INTERAIR ( 见 表 1) 是 依 


其 


E 


由 于 需 约 束 级 联 


后 的 码 长 , 从 而 使 得 公 钥 量 较 小 , 以 及 随机 分 布 的 存在 , 对 QC- 


MDPC 码 选 取 建议 参数 的 1/2，, 同样 不 失 安全 性 ; 
同样 可 以 保证 80 bit 安全 性 。 级 联 后 
4/5, n=12005 , r 22401, w=51, 


码 选取 建议 参数 的 1/3 , 
的 码 字 码 率 R=(n 一 7)/n 


对 QC-LDPC 


t=55 。 同时, 码 率 的 提高 , 也 增加 了 频谱 利 ) 


] 率 ,使 码 的 性 能 


提高 。 
表 1 参数 选择 

QC-MDPC QC-LDPC 级 联 
R 1/2 2/3 4/5 
n 4802 7203 12005 
r 2401 2401 2401 
w 46 5 51 
t 42 13 55 


42 密 钥 量 及 复杂 度 分 析 
4.2.1 密 钥 量 分 析 


本 文 所 提出 的 体制 公 钥 为 Ge F7", RA HEFT, 


于 二 者 都 是 循环 结构 而 是 
HAHEN m 


QC-MDPC 的 密 钥 恢 复 攻击 。 
4.2.2 复杂 度 分 析 
1) 密 钥 生成 


a) 相 比 于 LDPC 体制 和 原始 McEliece 体制 ， 本 体制 不 再 


又 都 可 化 为 系统 形式 ， 所 以 该 体 于 


"s 


-D:r-9604 pit, 如 表 2 所 示 , 公 钥 量 相 对 于 基 
于 Goppa 码 与 基于 QC-LDPC 码 的 McEliece 体制 大 大 降低 , 相 
对 于 基于 QC-MDPC 的 McEliece 体制 稍 大 , 但 是 它 可 以 抵制 对 


m = 嘱 
"A 


b 


4 FA 


EN 


f 


采用 矩阵 5S，P 对 生成 矩阵 加 密 


， 至 少 减 少 了 2nk* 次 操作 ; 


b) 生 成 的 奇偶 校 验 和 矩阵 为 循环 矩阵 只 需 考 虑 第 一 行 向 量 的 
选择 ， 之 后 就 是 rl 次 的 循环 移 位 ， 复 杂 度 低 ; 

c) 对 五 。 进行 计算 , gr TH. 为 循环 矩阵 ,可 对 其 使 用 一 
种 矩阵 求 逆 的 高 效 算 法 09 来 求解 ， 降 低 了 计算 操作 数 。 

2) 加 密 

包括 码 字 向 量 与 生成 矩阵 的 乘积 , 以 及 与 差错 图 样 的 相 加 ， 


操作 数 如 表 2 所 示 。 
3) 解 密 
使 用 改进 的 BF 算法 得 到 e ， 


纠 错 后 再 选取 前 位 得 到 明 


X. 解密 复杂 度 主要 在 于 改进 的 BF 译 码 算法 , 操作 数 如 表 2 所 
ES 
译 码 过 程 中 对 于 以 下 几 个 问题 的 解决 方法 : 


a) 阔 值 六 的 计算 或 选择 。 阔 值 对 和 欠 代 次 数 有 很 直接 的 影响 
如 果 阔 值 太 高 ， 在 每 次 闪 代 中 只 有 很 少 的 错误 被 纠正 ， 反 之 ， 
正确 的 比特 会 比 错误 比特 翻转 得 多 。 在 Gallager 原始 的 比特 翻 
转 算 法 中 ， 阔 值 b 是 在 每 次 迭代 译 码 之 前 都 进行 预计 算 ， 用 于 
计算 阐 值 的 公式 同时 可 以 确保 一 些 译 码 失 败 概率 。 根 据 
Maurich 等 人 0 对 几 种 译 码 方案 的 测试 结果 ， 此 种 阔 值 计算 方 
法 可 取 。 因 此 在 阔 值 的 计算 上 ， 本 文采 取 此 种 方法 。 
bo 迭代 次 数 的 限制 。 经 文献 [17] 研 究 发 现 比 特 翻转 译 码 算 
法 会 在 很 小 的 迭代 次 数 之 后 停止 ， 平 均 大 约 为 3~5 次 ， 再 进行 
迭代 对 提高 译 码 的 成 功率 影响 很 小 。 另 外 文献 [6] 中 对 于 迭代 次 
数 的 选择 建议 也 在 10 次 以 内 ， 因 为 迭代 次 数 过 多 会 有 可 能 导 
致 译 码 失 败 ， 使 译 码 失败 概率 增 大 。 因 此 综合 考虑 ， 从 代 次 数 
设置 为 10 以 内 的 小 整数 。 


Ll. 


c) 关于 校 验 子 的 更 新 。 本 文 不 再 利用 更 新 的 码 字 与 校 验 矩 
阵 的 转 置 相 乘 来 重新 计算 校 验 子 ， 而 是 采取 检查 每 个 校 验 节点 


IT 


所 连接 的 变量 节点 的 翻转 次 数 来 更 新 校 验 子 的 值 ， 原 方案 在 每 

一 轮 迭 代 中 校 验 子 更 新 这 一 步 的 计算 操作 数 为 ax7r ， 本 文 改 进 

的 对 校 验 子 的 更 新 操作 数 为 wxr ， 相 较 减 少 了 (nw)xr。 
表 2 与 几 种 体制 参数 对 比 


McEliece 
QC-LDPC QC-MDPC 本 文 
(original) 
公 钥 /Bytes 67072 6144 600 1200 
言 息 位 /bit 524 16384 4800 9604 
码 率 0.5117 0.6667 0.5 0.8 
加 密 操 作 数 269336 12713984 = 7452704 
解密 操作 数 5263360 218750976 一 28946456 
5 ”结束 语 
本 文 基于 两 个 不 同 密度 奇偶 校 验 矩阵 所 定义 的 两 种 码 的 级 


联 码 提出 了 一 种 改进 的 McEliece 变型 体制 。 分 析 结 果 表 明 , fü 
环 结构 的 加 入 使 密 钥 紧 致 ， 改 进 的 译 码 算法 在 计算 复杂 度 上 相 
比 原 译 码 算法 有 所 降低 ， 同 时 在 安全 性 方面 可 以 抵制 信息 集 译 
码 攻 击 和 密 钥 恢复 攻击 。 基 于 奇偶 校 验 码 的 密码 体制 是 后 量子 


Ee 


ChinaXiv 合 作 期 
FER, F: AEAF ERA McEliece 变型 方案 


算法 的 一 个 很 重要 的 方案 ， 本 文 所 提出 的 变型 方案 证 明 是 可 行 
的 ， 今 后 的 工作 可 对 比特 翻转 译 码 算法 的 效率 及 安全 性 进行 
A. 
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